ある日,HTML5のLocal Storageを使ってはいけない がバズっていた. この記事でテーマになっていることの1つに「Local StorageにJWTを保存してはいけない」というものがある. しかし,いろいろ考えた結果「そうでもないんじゃないか」という仮定に至ったのでここに残しておく. 先の記事では,「Local StorageにJWTを保存してはいけない」の根拠として「XSSが発生した時,攻撃者がLocal Storageに保存したJWTを盗むことが出来てしまう」といったセキュリティ上の懸念事項が挙げられていた. これに対し,クッキーを用いたセッションベースの認証では,セッションIDをクッキーに保存する.クッキーにHttpOnlyフラグをつけておけば,JavaScriptからはアクセスできず,XSSが発生しても攻撃者はセッションIDを読み取ることが出来ない. 一見すると,これは
![おーい磯野ー,Local StorageにJWT保存しようぜ!](https://cdn-ak-scissors.b.st-hatena.com/image/square/5d926e34f93512118bcf582e12095894a76d7c81/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--1a5eAcIz--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%2525E3%252581%25258A%2525E3%252583%2525BC%2525E3%252581%252584%2525E7%2525A3%2525AF%2525E9%252587%25258E%2525E3%252583%2525BC%2525EF%2525BC%25258CLocal%252520Storage%2525E3%252581%2525ABJWT%2525E4%2525BF%25259D%2525E5%2525AD%252598%2525E3%252581%252597%2525E3%252582%252588%2525E3%252581%252586%2525E3%252581%25259C%2525EF%2525BC%252581%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Att%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2liOVJoZTdaWHFHOEdXTEJPUWptYXg4TVc4ZEhOVm8tU2czMzhhRnc9czI1MC1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)